Le navigateur web Tor, basé sur Firefox, aime jouer la transparence. Entre avril et août, Radically Open Security a mené un audit complet du code du projet Tor. Voici les principales conclusions de son rapport.
L‘audit de code, réalisé entre le 17 avril et le 13 août 2023 par Radically Open Security (organisme de conseil en sécurité informatique à but non lucratif), s’est concentré sur plusieurs composants de l’écosystème Tor, notamment le navigateur (et la version android), les Exit relays, les services exposés (serveur de métriques, SWBS, Onionoo API), ainsi que les composants d’infrastructure (surveillance et alerte), et les outils de test/profilage.
L’objectif principal était d’évaluer les modifications logicielles apportées pour améliorer la vitesse et la fiabilité du réseau Tor et un certain nombre de recommandations ont été formulées. Par exemple, Tor peut réduire la surface d’attaque potentielle de l’infrastructure publique, remédier aux bibliothèques et aux logiciels obsolètes, mettre en œuvre des normes de sécurité web (plus) modernes, et suivre les redirections dans tous les clients HTTP par défaut.
En outre, l’audit a jugé impératif de résoudre les problèmes liés aux vulnérabilités de déni de service, aux attaques locales, aux autorisations non sécurisées et à la validation insuffisante des entrées.
L’audit a été mené par Radically Open Security, en collaboration avec le DRL, le U.S. State Department Bureau of Democracy, Human Rights, and Labor. Les conclusions ont été publiées sur le blog de Tor.
